Pour tous les acteurs du secteur de la banque, de l’assurance ou des paiements projetant d’externaliser ou externalisant déjà des prestations informatiques, des fonctions de contrôle ou de traitements de « back-office » de nature diverse, il est crucial de qualifier l’importance de ces prestations.
Celles-ci, peuvent en effet présenter un caractère essentiel ou critique au sens des réglementations prudentielles en vigueur et, à ce titre, relever des obligations spécifiques s’imposant en cas d’externalisation.
L’identification des fonctions critiques
A titre d’exemple, conformément aux dispositions des orientations relatives à l’externalisation de l’EBA, une fonction doit être considérée comme étant critique ou importante par un établissement de crédit et un établissement de paiement :
- lorsqu’une anomalie ou une défaillance de l’exécution de la prestation est susceptible de nuire sérieusement à la capacité de l’établissement de se conformer de manière continue aux conditions de son agrément ou à ses autres obligations, à ses performances financières ou à la solidité ou à la continuité de ses services et de ses activités bancaires et de paiement ;
- lorsque les tâches opérationnelles des fonctions de contrôle interne sont externalisées (sauf exception) ;
- lorsque l’établissement a l’intention d’externaliser des fonctions d’activités bancaires ou de services de paiement dans une mesure qui nécessiterait l’autorisation d’une autorité compétente.
En fonction de la typologie de leur agrément, les établissements concernés doivent alors informer de façon appropriée, et en temps utile, l’Autorité de contrôle prudentiel et de résolution (ACPR) au sujet de l’externalisation de fonctions critiques ou importantes
Exemple : les établissements de crédit doivent informer l’ACPR en cas de conclusion d’un contrat d’externalisation portant sur des prestations de services ou d’autres tâches essentielles ou importantes ou lorsqu’une activité externalisée est devenue une prestation de service ou une tâche opérationnelle essentielle ou importante en lui adressant, une fois par an, une extraction du registre des dispositifs d’externalisation).
L’ACPR rappelle les obligations en matière d’externalisation
Dans ce contexte, l’ACPR a publié, le 22 juillet dernier, un communiqué dans lequel elle rappelle aux acteurs entrant dans son périmètre de supervision (acteurs dits « services financiers, c’est-à-dire, du secteur de la banque, de l’assurance et des paiements) leurs obligations en matière d’externalisation ; en particulier, en ce qui concerne leurs prestations présentant un caractère essentiel ou critique).
A titre d’exemples, en ce qui concerne les établissements de crédit et les établissements de paiement, ces règles découlent, notamment, des orientations relatives à l’externalisation adoptées par l’Autorité bancaire européenne (EBA/GL/2019/02) et des articles 231 et suivants de l’arrêté du 3 novembre 2014 relatif au contrôle interne. En ce qui concerne les entreprises d’assurance, ces règles découlent, en particulier, des articles L.354-3 et R.354-7 du Code des assurances et de l’article 274 du règlement délégué (UE) n°2015/35.
Les principaux points d’attention rappelés par l’ACPR
Les principaux points d’attention rappelés par l’ACPR à l’occasion de son communiqué de juillet 2021 sont les suivants :
- les organismes assujettis doivent assurer un contrôle approprié des prestataires externes auxquels ils recourent ;
- ils doivent pouvoir accéder à toutes les informations relatives aux fonctions et activités qu’ils sous-traitent ;
- ils demeurent pleinement responsables du respect de l’ensemble des obligations qui leur incombent, en particulier lorsqu’ils font le choix d’externaliser des prestations essentielles ou critiques ;
- ils doivent veiller à ce que l’externalisation de prestations essentielles ou critiques ne conduise pas à un affaiblissement de leurs systèmes de gouvernance, de la maîtrise de leurs risques opérationnels, de la continuité de leurs activités, ni même de la capacité de contrôle du superviseur ;
- l’externalisation requiert la conclusion d’un contrat écrit précis ainsi que la définition d’une politique formalisée de contrôle des prestataires externes par l’organisme assujetti ;
- les prestataires doivent se conformer aux procédures définies par l’organisme assujetti en ce qui concerne l’organisation et la mise en œuvre du contrôle des services externalisés ;
- les auditeurs externes mandatés par les organismes assujettis pour exercer le contrôle des services externalisés fournis doivent avoir accès à toutes les informations sur lesdits services pour exercer leurs contrôles avec diligence ;
- l’ACPR doit pouvoir avoir un accès direct aux informations possédées par un sous-traitant et peut étendre un contrôle sur place au sein d’un organisme assujetti, relativement à une activité externalisée.
Sanctions en cas de manquement
Conformément aux dispositions des articles L.612-1 et L.612-39 du Code monétaire et financier, l’établissement qui ne respecte pas les règles relatives aux modalités d’exercice de ses activités encourt une sanction disciplinaire de la part de l’ACPR. Cette sanction sera, en particulier, déterminée selon la gravité du manquement constaté.